Une découverte récente effectuée par Quarkslab, une entreprise française spécialisée en cybersécurité offensive et défensive, a révélé la présence d’une porte dérobée de sécurité dans des millions de cartes sans contact produites par Shanghai Fudan Microelectronics Group Co. Ltd. Ces cartes sont largement utilisées dans les transports publics et l’industrie hôtelière. Elles présentent un risque important pour les utilisateurs à travers le monde.
La faille au cœur des cartes sans contact
Les cartes sans contact, notamment celles de la gamme MIFARE, sont omniprésentes dans plus de 750 villes réparties sur 50 pays. Ces cartes servent à des usages variés : paiements sans contact, billetterie pour les transports, contrôle d’accès, etc. Bien que ces cartes soient réputées pour leur efficacité et leur commodité, elles ont également été soumises à de nombreuses attaques. Parmi elles, il y a les attaques dites « card-only« . Elles permettent de cloner ou d’altérer les cartes sans avoir accès au lecteur associé, sont particulièrement préoccupantes.
En 2020, Shanghai Fudan Microelectronics a lancé une nouvelle version de la carte MIFARE Classic, la FM11RF08S, conçue pour résister aux attaques connues. Toutefois, des recherches menées par Philippe Teuwen, ingénieur chez Quarkslab, ont révélé que ces cartes présentaient encore des vulnérabilités critiques. « Les technologies de communication en champ proche (NFC) sont déployées dans le monde entier et jouent un rôle central dans des applications critiques comme le transport public, l’identification personnelle et les systèmes de paiement » déclare Fred Raynal, PDG de Quarkslab. « Même des technologies matures comme celles-ci peuvent être vulnérables. »
Vous aimerez aussi cet article:
Une faille commune à plusieurs générations de cartes
Lors de ses recherches, Teuwen a découvert qu’une porte dérobée matérielle présente dans les cartes FM11RF08S permettait une authentification avec une clé inconnue. C’est commune à toutes les cartes de ce modèle. Par cette porte dérobée, il a pu casser les clés de sécurité de la carte en seulement 15 minutes. Une analyse plus approfondie a révélé que cette faille était également présente dans les cartes de la génération précédente. C’est le cas des FM11RF08. C’est le cas dans d’autres modèles du fabricant.
Ces découvertes soulèvent des préoccupations quant à la sécurité de ces cartes. C’est le cas, en particulier dans les chaînes d’approvisionnement complexes. Une attaque à l’échelle de la chaîne d’approvisionnement pourrait permettre à des acteurs malveillants de compromettre un grand nombre de cartes simultanément. Il peut ainsi y avoir des conséquences potentielles graves pour les utilisateurs finaux.
Vous aimerez aussi cet article:
Mise en garde de Quarkslab pour les organisations utilisant des cartes sans contact
Quarkslab appelle les entreprises et les organisations à réaliser des audits réguliers de sécurité. C’est essentiel pour s’assurer que les technologies sans contact qu’elles utilisent ne présentent pas de vulnérabilités. « La découverte de Philippe souligne l’importance cruciale des audits de sécurité approfondis, en particulier pour les organisations avec des chaînes d’approvisionnement complexes où les attaques peuvent être exécutées à grande échelle« , souligne Fred Raynal.
Le rapport complet de ces découvertes a été publié sur le blog de Quarkslab. L’article de recherche a été déposé dans l’archive Cryptology ePrint de l’International Association for Cryptologic Research (IACR). Quarkslab a également intégré les outils nécessaires pour tester ces vulnérabilités dans le projet open-source Proxmark. Cela permet ainsi aux utilisateurs potentiellement affectés de vérifier la sécurité de leurs cartes.
Cette découverte met en lumière la nécessité pour les entreprises de redoubler de vigilance et de prendre des mesures proactives. C’est un impératif de sécuriser leurs systèmes basés sur des cartes sans contact, sous peine de subir des attaques qui pourraient compromettre des millions d’utilisateurs à travers le monde.
Article basé sur un communiqué de presse reçu par la rédaction.
